Het Stelsel MOET periodiek en door een onafhankelijke ter zake deskundige partij laten toetsen of de technische beveiligingsmaatregelen die zijn genomen door Deelnemers, Beheerorganisatie daadwerkelijk effectief en adequaat zijn. Een dergelijke controle is nuttig om zwakke plekken in het systeem te ontdekken en om te controleren hoe doeltreffend de beheersmaatregelen zijn bij het voorkómen van onbevoegde toegang als gevolg van deze zwakke plekken.

Uitgangspunten

Tenminste tweemaal per jaar worden er pentesten uitgevoerd. Deze zullen verdeeld worden in centraal (gecoördineerd door de beheerorganisatie) en decentraal (onder directe verantwoordelijkheid van individuele deelnemers). 

Centraal

De beheerorganisatie zal tenminste éénmaal per jaar een centrale pentest organiseren. Indien gewenst kan het thema ervan worden bepaald in overleg met de Security officers van de deelnemers tijdens het Security officers overleg. 

• Black-box test MOET plaatsvinden op alle endpoints van alle in het netwerk aanwezige systemen.
• Black-box test MOET plaatsvinden op alle aangeboden diensten van de Beheerorganisatie, waaronder het incidentmanagementsysteem, Confluence en de dienstencatalogus- en metadata-aggregator.
• Deze test MAG NIET plaats vinden tijdens een koppelvlak release en daarmee een release hinderen. 

Decentraal

Georganiseerd door deelnemers zelf.

• Deelnemer MOET tenminste éénmaal per jaar een eigen pentest uitvoeren, in elk geval direct volgend op de livegang van een nieuwe koppelvlakrelease.
• Deze pentest MOET tenminste Grey-box, maar MAG White-box worden uitgevoerd.
• Het implementatieplan van een nieuwe release MAG de opdracht tot een pentest bevatten.
• Deelnemer MOET alle endpoints van in het netwerk beschikbare systemen onderwerpen aan een pentest
• Deelnemer MOET ook eventuele uitgebrachte apps (t.b.v. authenticatie e.d.) die een rol in het Netwerk vervullen laten pentesten.
• Deelnemer ZOU bij deze pentest ook gerelateerde systemen, zoals self-service portalen, mee MOETEN nemen 

Randvoorwaarden voor penetratietesten

De penetratietest MOET worden uitgevoerd door een partij die:

• Onafhankelijk is van de organisatie waar de pentesten plaatsvinden
• Aantoonbaar deskundig is op het gebied van standaarden die voor het Stelsel relevant zijn, zoals SAML, XACML en Signing.

Rapportage van penetratietesten

Het rapport van de Decentrale en Centrale penetratietest MOET ter inzage worden aangeboden aan de toezichthouder. Uit het rapport van de Centrale penetratietest worden de bevindingen door de Beheerorganisatie gedeeld met de betreffende geauditte partij. Voor bevindingen die geclassificeerd zijn als Hoog dient op basis van een risico analyse een Corrective Action Plan (CAP) gemaakt te worden door de deelnemer en beheerorganisatie, waarin beschreven staat wanneer de bevinding wordt opgelost. Deze dient aangeboden te worden aan de toezichthouder.

De beheerorganisatie rapporteert over de Centrale penetratietest aan het Tactisch Beraad, waarbij individuele bevindingen zijn geanonimiseerd.